Si vous êtes américain et que vous n’avez pas encore créé de compte sur irs.govvous voudrez peut-être vous en occuper avant les fraudeurs fiscaux créer un compte en votre nom et voler vos données personnelles et fiscales dans le processus.
Récemment, BreachTrace a entendu parler de Michel Kasperun lecteur de 35 ans qui a tenté d’obtenir une copie de son dernier relevé de notes auprès du Service des recettes internes (IRS). Kasper a déclaré qu’il avait demandé la transcription après avoir essayé de déposer ses impôts via la version de bureau de ImpôtRapideet avoir été informé par TurboTax que l’IRS avait rejeté la demande parce que sa déclaration avait déjà été produite.
Kasper a déclaré qu’il avait téléphoné à la hotline de vol d’identité de l’IRS (800-908-4490) et on m’a dit qu’un dépôt direct était effectué ce même day pour son remboursement d’impôt – une demande faite avec son numéro de sécurité sociale et son adresse mais à déposer sur un compte bancaire qu’il ne reconnaît pas.
« Puisque je les alertais que cette transaction était frauduleuse, leurs règles de confidentialité les empêchaient de me donner plus d’informations, telles que le numéro d’acheminement et le numéro de compte de ce dépôt », a déclaré Kasper. «Ils ont essentiellement admis que c’était pour protéger la vie privée du criminel, pas parce qu’ils allaient enquêter tout de suite. En fait, ils étaient très clairs sur le fait que l’affaire ne ferait pas l’objet d’une enquête plus approfondie tant qu’un affidavit de fraude et les documents d’accompagnement n’auraient pas été traités par courrier.
Dans les semaines suivantes, Kasper a contacté l’IRS, qui lui a dit qu’ils n’avaient aucune nouvelle information sur son cas. Lorsqu’il a essayé d’obtenir une transcription de la déclaration frauduleuse en utilisant la fonction « Get Transcript » sur IRS.gov, il a appris que quelqu’un s’était déjà enregistré sur le site de l’IRS en utilisant son numéro de sécurité sociale et une adresse e-mail inconnue.
« Lorsque j’ai appelé l’IRS pour résoudre ce problème et que j’ai passé une heure de plus en attente, ils m’ont expliqué qu’ils ne pouvaient pas me dire quelle était l’adresse e-mail en raison des règles de confidentialité », se souvient Kasper. « Ils ont également dit qu’ils ne pouvaient pas changer l’adresse e-mail, tout ce qu’ils pouvaient faire était d’interdire l’accès aux eServices pour mon compte, ce qu’ils ont fait. C’était quelque chose au moins.
FORMULAIRE 4506
Sans se décourager, Kasper approfondit ses recherches et découvrit qu’il pouvait toujours obtenir une copie de la déclaration frauduleuse en remplissant le Formulaire IRS 4506 (PDF) et en payant des frais de traitement de 50 $. Plusieurs jours plus tard, l’IRS a envoyé à Kasper une photocopie de la déclaration frauduleuse déposée à son nom – complet avec le routage bancaire et le numéro de compte qui a reçu le faux remboursement de 8 936 $ déposé à son nom.
« C’est vrai, 50 $ juste pour le droit de voir mon propre retour », a déclaré Kasper. « Et encore une fois, la main droite ne sait pas ce que fait la main gauche, car cela ne m’a coûté que 50 dollars pour les amener à ignorer leurs propres règles de confidentialité. La chose la plus intéressante à propos de cette étrange règle est que l’IRS refuse également de regarder les données du compte lui-même jusqu’à ce qu’elles aient fait l’objet d’une enquête approfondie. Les banques sont tenues par la loi de signaler les dépôts de remboursement suspects, mais l’IRS ne prend même pas la peine de contacter les banques pour leur faire savoir qu’un dépôt de remboursement a été signalé frauduleux, du moins dans le cas des contribuables individuels qui appellent, confirment leur identité et le signalent, comme je l’ai fait.
Kasper a déclaré que la transcription indique que les fraudeurs ont déposé sa demande de remboursement en utilisant le Site Web de fichiers électroniques gratuit du site Web de l’IRS pour ceux dont le revenu est supérieur à 60 000 $. Il a également montré le numéro d’acheminement pour Première Banque Nationale de Pennsylvanie et le numéro de compte courant de la personne qui a reçu le dépôt ainsi que la date de dépôt : 31 janvier 2015.
La transcription suggère que les fraudeurs qui ont demandé son remboursement l’ont fait en copiant toutes les données de son W2 de l’année précédente et en augmentant légèrement les montants de l’année précédente. Kasper a dit qu’il ne pouvait pas le prouver, mais il pense que les escrocs ont obtenu ces données W2 directement de l’IRS lui-mêmeaprès avoir créé un compte sur le portail IRS à son nom (mais en utilisant une adresse e-mail différente) et avoir demandé son relevé de notes.
« La personne qui l’a soumise a accédé d’une manière ou d’une autre à ma déclaration de revenus de l’année précédente 2013 afin de répertorier mon employeur et mon salaire de cette année 2013, puis de l’utiliser sur la déclaration de 2014 à la place », a déclaré Kasper. « En outre, ils ont également soumis un W-2 corrigé qui a augmenté le montant de la retenue d’exactement 6 000 $ pour augmenter leur remboursement total dû à 8 936 $. »
MOULAGE D’ARGENT
Le mercredi 18 mars 2015, Kasper a contacté la First National Bank of Pennsylvania dont le numéro d’acheminement figurait dans la fausse demande de remboursement d’impôt et a contacté leur responsable de la sécurité des comptes. Cette personne a confirmé qu’un dépôt direct par l’IRS pour 8 936,00 $ avait été effectué le 9 février 2015 sur un compte courant individuel spécifiant le nom complet et le SSN de Kasper dans les métadonnées avec le dépôt.
«Elle m’a dit qu’elle pouvait également voir que des transactions avaient été effectuées dans une ou plusieurs succursales de la ville de Williamsport, en Pennsylvanie, pour débourser ou retirer ces fonds et que plusieurs achats avaient également été effectués par carte de débit dans la ville de Williamsport, de sorte qu’à à ce stade, une partie substantielle des fonds avait disparu », a déclaré Kasper. « Elle m’a en outre dit que personne de l’IRS n’avait contacté sa banque pour poser des questions sur ce compte, malgré mon rapport de fraude déposé le 9 février 2015. »
La responsable de la sécurité des comptes de la banque a déclaré qu’elle serait heureuse de coopérer avec la police de Williamsport si elle fournissait la demande légale requise pour lui permettre de divulguer le nom, l’adresse et les détails du compte. L’agent de la banque a proposé à Kasper son numéro de téléphone de bureau et son téléphone portable à partager avec les flics. L’employé de First National a également mentionné que le suspect vivait dans la ville de Williamsport, en Pennsylvanie, et que cette personne semblait toujours utiliser le compte.
Kasper a déclaré que la police locale de sa ville natale de New York n’avait pas pris la peine de répondre à sa demande d’assistance, mais que le lieutenant du département de police de Williamsport qui avait entendu son histoire avait eu pitié de lui et lui avait demandé d’écrire un e-mail sur l’incident à son capitaine, que Kasper dit avoir envoyé plus tard dans la matinée.
À peine deux heures plus tard, il a reçu un appel d’un enquêteur qui avait été affecté à l’affaire. Le détective a ensuite interrogé la personne qui détenait le compte le même jour et a dit à Kasper que le service des fraudes de la banque enquêtait et avait demandé à la personne de rendre l’argent.
« Mon cas de fraude au remboursement d’impôt était passé de coincé dans la boue à un dossier ouvert, presque du jour au lendemain », a déclaré Kasper. « Ou du moins, cela semblait aussi simple. Cela s’est avéré beaucoup plus complexe. »
Pour commencer, la femme qui possédait le compte bancaire qui a reçu son faux remboursement – une étudiante dans une université locale de Pennsylvanie – a déclaré qu’elle avait obtenu le transfert après avoir répondu à une annonce Craigslist pour une opportunité de gagner de l’argent.
Kasper a déclaré que la détective avait appris que de l’argent avait été déposé sur son compte et qu’elle avait envoyé de l’argent vers des destinations au Nigeria par virement bancaire Western Union, en gardant une partie comme profit et ne soupçonnant apparemment jamais qu’elle pourrait faire quelque chose d’illégal.
« Elle a jusqu’à présent fourni une quantité importante d’informations, et je suis enclin à croire son histoire », a déclaré Kasper. «Qui serait assez fou pour déposer un remboursement d’impôt frauduleux sur son propre compte courant, par opposition à une carte de débit introuvable qu’il pourrait obtenir dans un dépanneur. En même temps, quelqu’un qui pourrait réussir cela n’aurait-il pas également une explication comme celle-ci prête ? »
La femme en question, dont le nom n’est pas mentionné dans cette histoire, a refusé plusieurs demandes pour parler à BreachTrace, menaçant de déposer une plainte pour harcèlement si je n’arrêtais pas d’essayer de la contacter. Néanmoins, elle semble avoir été une mule monétaire involontaire – sinon involontaire – dans une escroquerie qui cherche à recruter des imprudents pour gagner de l’argent.
ANALYSE
Le processus de l’IRS pour vérifier les personnes qui demandent des transcriptions est vulnérable à l’exploitation par des fraudeurs car il repose sur des identifiants statiques et sur ce que l’on appelle «l’authentification basée sur la connaissance» (KBA) – c’est-à-dire des questions de défi qui peuvent être facilement contournées avec des informations largement disponibles à la vente dans la cybercriminalité clandestine et/ou avec une petite quantité de recherche en ligne.
Pour obtenir une copie de votre relevé d’impôt le plus récent, l’IRS exige les informations suivantes : le nom du demandeur, sa date de naissance, son numéro de sécurité sociale et son statut de dépôt. Une fois ces données fournies avec succès, l’IRS utilise un service du bureau de crédit Équifax qui pose quatre questions KBA. Toute personne qui réussit à fournir les bonnes réponses peut voir la transcription fiscale complète du demandeur, y compris les W2 antérieurs, les W2 actuels et plus ou moins tout ce dont on aurait besoin pour demander frauduleusement un remboursement d’impôt.
Les questions KBA – qui impliquent des questions à choix multiples, « hors portefeuille » telles que l’adresse précédente, les montants et les dates des prêts – peuvent être énumérées avec succès avec des devinettes aléatoires. Mais dans la pratique, c’est beaucoup plus facile, a déclaré Nicolas Tisserandchercheur au Institut international d’informatique (ICSI) et à la Université de Californie, Berkeley.
« Je l’ai fait deux fois, et la première fois, c’était lié à mon adresse actuelle, une ancienne question d’adresse et une question » quelle carte de crédit avez-vous reçue « , a déclaré Weaver. « La deuxième fois, il y avait deux questions liées à mon adresse actuelle et deux liées à un prêt automobile que j’ai remboursé en 2007. »
La deuxième fois, Weaver a déclaré que quelques minutes sur Zillow.com lui avaient donné toutes les réponses dont il avait besoin pour les questions KBA. Spokeo a résolu les questions de « l’ancienne adresse » pour lui avec une précision de 100 %.
« Zillow avec mon adresse a répondu à tous les quatre, si vous supposez juste » a déménagé quand j’ai acheté la maison « », a-t-il déclaré. « En fait, j’avais besoin d’utiliser Zillow la deuxième fois, parce que je me souviens quand ma maison a été construite. Donc, avec les données Zillow et Spokeo, ce n’est même pas 1 sur 256, c’est 1 sur 4 la première fois et 1 sur 16 la seconde, et vous n’avez pas besoin de deviner non plus avec un peu plus de recherche sur Google.
Si des lecteurs ici doutent de la facilité avec laquelle il est possible d’acheter des données personnelles sur à peu près n’importe qui, consultez l’article que j’ai écrit en décembre 2014, dans lequel j’ai pu trouver le nom, l’adresse, le numéro de sécurité sociale, l’adresse précédente et le numéro de téléphone de tous membres actuels de la Comité du commerce du Sénat américain. Ces informations ne sont plus secrètes (ni les réponses aux questions basées sur la KBA), et nous sommes tous vulnérables au vol d’identité tant que les institutions continueront à s’appuyer sur des informations statiques comme authentificateurs. Voir mon histoire récente sur Apple Pay pour un autre rappel de ce fait.
Malheureusement, l’IRS n’est pas la seule agence gouvernementale dont le recours aux identifiants statiques les rend en fait complices du vol d’identité contre les Américains. Le même processus décrit pour obtenir une transcription fiscale sur irs.gov fonctionne pour obtenir un rapport de crédit gratuit de rapportannueldecredit.com, un site Web mandaté par le Congrès. De plus, les Américains qui n’ont pas encore créé de compte au Administration de la sécurité sociale sous leur numéro de sécurité sociale sont vulnérables aux escrocs qui détournent les prestations de la SSA maintenant ou à l’avenir. Pour en savoir plus sur la façon dont les escrocs détournent les prestations de sécurité sociale via les sites gouvernementaux, consultez cette histoire.
Kasper a déclaré qu’il était reconnaissant du rapport de police qu’il a pu obtenir des autorités de Pennsylvanie, car il lui permet d’obtenir un gel de son dossier de crédit sans payer les frais habituels de 5 $ à New York pour placer et dégeler un gel.
Les gels de crédit empêchent les créanciers potentiels d’approuver de nouvelles marges de crédit en votre nom – et même de pouvoir consulter ou « extraire » votre dossier de crédit – mais un gel n’empêchera pas nécessairement les fraudeurs de produire de fausses déclarations de revenus en votre nom.
À moins, bien sûr, que les escrocs en question comptent obtenir vos relevés de notes fiscaux via le site Web de l’IRS. Selon l’IRS, les personnes dont le dossier est gelé doivent lever le gel (avec Equifax, au moins) avant que l’agence ne puisse continuer avec les questions KBA dans le cadre de son processus de vérification.
Mise à jour, 22h46, HE : Le lien inclus dans le premier paragraphe de cette histoire invitant les lecteurs à créer un compte auprès de l’IRS renvoie actuellement le message : « Nous rencontrons actuellement des problèmes techniques et sommes incapables de traiter les nouvelles inscriptions. »